IPv6网络安全的实现与测试.doc

IPv6网络安全的实现与测试 58 通信论 计算机与瀚络创新生活 IPv6网络安全的实现与测试 许为华, (浙江金融职业学院信息中心浙江杭州310018) 【摘要】IPv4地址日趋枯竭,IPv6协议替代IPv4协议势在必行与IPv4协议相比,IPv6协议在地址空间,路由聚合,服 务质量和网络安全等方面带来了很大的发展和提升空间,但IPv6的网络安全仍然存在.本文对IPv6的防火墙和入侵检测系统 进行了测试,并对其结果进行了分析.为正确部署防火墙和定位入侵检测系统提出了系列建议. 【关键词】IPv6网络安全防火墙入侵检测测试 中图分类号:TN915文献标识码:A文章编号:1008-1739(2O12)02—58—4 ImplementationandTestofIPv6NetworkSecurity XUWei-hua (InformationCenter,ZhejiangFinanceProfessionalInstitute,HangzhouZhejiang310018,China) Abstract~IPv4addresswillbeexhausted,anditisinevitablethatIPv6protocolreplacestheactualIPv4protoco1.Compared withIPv4protocol,IPv6protocolhasbroughtgreatspacedevelopmentandpromotionintheaddressspace,aggregationrouting, qualityofserviceandnetworksecurity,buttheIPv6networksecurityriskstillexists.TheIpv6一basedfirewallandintrusiondetection systemistested,andtheresultsareanalyzed.FortheproperdeploymentoffirewaUandintrusiondetectionsystem,thispaperpresentsa seriesofrecommendations. Keywords:IPv6;networksecurity;firewall;intrusiondetection;test 1引言 Ipv4协议是在1981年推出,由于其内在的开放性和不断 的更新而受到开发人员和用户的欢迎,成为了互联网的通用 协议.随着互联网的迅速发展,IPv4定义的有限地址空间消耗 速度正在逐年加快.虽然采取了许多节约地址的方法(如nat 地址转换等),但据IETF估计,按照互联网现在的发展速度, IPv4地址将被分配完毕.IPv6就是在这种情况下应运而生的. 与IPv4相比,lPv6具有地址空间更大,网络整体吞吐量更高, 服务质量和多播功能更好,安全性更强,即插即用和移动应用 更易等诸多优点.尤其是IPv6大大扩展了地址空间.恢复了 原来因地址受限而失去的端到端连接功能,保证了端到端的 服务质量和安全性.为互联网的进一步发展和缩小数字鸿沟 提供了基本条件. 虽然IPv6协议应取代IPv4协议是必然趋势,但IPv4协 议网络系统过于庞大.从IPv4过渡到IPv6将是一个很长的过 程,在未来几年内IPv4协议和IPv6协议将共存.IPv6协议的 定稿日期:201卜12-26 安全机制与IPv4协议相比有了很大改善,但在攻防型安全模 式和网络分层方面也存在缺陷,安全问题时刻存在着.特别是 在过渡期.不同的过渡机制带来新的,未知的,潜在的安全威 胁.而防火墙和入侵检测系统在网络安全防范中十分重要,因 此.对其在安全方面支持IPv6协议的研究十分必要. 2IPv6协议安全方面的改进 IPv6协议中提出了全新的网络安全体系结构,即IPsec网 络安全标准,它是IPv6不可或缺的重要特征之一.它为TCP/ Ip协议族的传输层和应用层提供数据安全服务.IPSec提供的 安全服务包括:数据私有性,基于无连接的数据完整性,数据 包来源认证,访问控制,抗数据重发攻击以及一定程度上的数 据流量私有性等.这些安全服务是通过ESP和AH这两个安 全协议来实现的.在协议安全层面上,IPV6全面支持认证头 (AH)认证和封装安全有效负荷(EsP)信息安全封装扩展头. 在网络安全方面,在两端主机上对报文实行IPSec封装, 中间路由器对有IPSec扩展头的IPV6报文进行透传,因而实 《计算机与网络》2012年第02期 现端到端的安全;通过IPSec隧道的方式或者IPV6扩展头中针对一一个多播地址).利用这…事件,入侵者通过向一个多播地 提供的路由头和逐跳选项头结合应用层网关技术来配置的址发送大量的数据包引起多重